Kyberturvallisuus, Kesko, Arto Hiltunen, tietohallintojohtaja Yritykset

Helppo raha kiinnostaa kyberrosvoa

Verkkovarkaita houkuttelevaa helppoa rahaa on tarjolla hyväuskoisissa ja heikosti tietoturvastaan huolehtivissa pk-yrityksissä. Kyberturvallisuuteen pitäisikin suhtautua vakavasti yrityskokoon katsomatta. Kukaan ei varmasti toivo herättäjäksi mitään todella vakavaa verkkoiskua.
Timo Sormunen
Meeri Utti
FacebookTwitterLinkedIn

Moni suomalainen arveli marraskuussa saaneensa mieluisaa sähköpostia Verohallinnolta. Viestissä ilmoitettiin veronpalautuksesta, jonka maksamista varten piti ilmoittaa oma tilinumero.

Varsin pian Verohallinto kuitenkin tiedotti, että aidon näköisellä logolla ja täysin asiallisella tekstisisällöllä varustettu sähköpostiviesti oli huijausta. Kuinka moni ansaan lopulta lankesi, on arvoitus. Vahinkoa vähensi verottajan nopea kriisiviestintä, lisäksi huijaus uutisoitiin tuoreeltaan mediassa.

Keskon tietohallintojohtaja Arto Hiltusen mielestä tapaus oli varsin klassinen esimerkki sähköpostihuijauksesta, joka onnistuessaan tuottaa lähettäjälleen vaivatonta tulovirtaa.

– Jos tällainen viesti lähtee vaikkapa miljoonaan eri osoitteeseen, niin pienikin vastausprosentti tuottaa rahaa. Ja se on myös verkkorikollisuudessa aina päämotiivi, Hiltunen korostaa.

Robottirosvo ei erottele uhrejaan

Hiltunen vertaa verkkouhkilta suojautumisen olevan pitkälti samanlaista kilpajuoksua kuin doping huippu-urheilussa.

Rikolliset kehittävät yhä ovelampia ja tehokkaampia keinoja, joilla murtautua tai muulla tavalla päästä käsiksi yritysten rahaliikenteeseen. Vaihtoehtoisesti voidaan häiritä arkista liiketoimintaa, kuten kaataa palvelimia tai verkkosivustoja ja vaatia vastineeksi rahaa.
Vastapuoli pyrkii tietenkin puolustautumaan mahdollisimman tehokkaasti.

– Valitettavasti pitkäkyntiset ovat usein askeleen edellä. Siksi tietoturva-asioihin pitää suhtautua vakavasti yrityskokoon katsomatta, Hiltunen painottaa.

Verkkohyökkäykset ja -huijaukset ovat pahimmillaan hyvin organisoitua globaalia rikollisuutta, jolla on käytössään alan huippuosaajat ja -resurssit. Automatisoidut tietojärjestelmät hakevat sopivia iskukohteita ja tietoturva-aukkoja kellon ympäri vuoden jokaisena päivänä.

Se on kaukana nigerialaiskirjeistä tai autotallin nurkassa puuhastelevista hakkereista, jos toki heitäkin joukkoon yhä mahtuu.

– Automatisoidut ohjelmat eivät erittele, onko tilinumeron tai Y-tunnuksen takana pörssiyhtiö vai toiminimi.

– Siksi yksikään pk-yrittäjä ei voi kuitata asiaa sanomalla, etteivät näin pienet tai kyseisen toimialan yritykset kiinnosta verkkorikollisia. Helppo raha kiinnostaa aina, Hiltunen tiivistää.

Tietomurrot, väärennetyt viestit ja kyberhyökkäykset alkavat olla lähes jokaisen yrityksen arkea. Pörssi- ja vientiyrityksissä verkko- ja kyberrikollisuuteen liittyvät riskit on jo varsin hyvin tiedostettu. Monille on saattanut kertyä niistä myös omakohtaista kokemusta, mikä yleensä on myös paras kannustin laittaa asiat kuntoon.

Valtaosassa mikro- ja pk-yrityksistä sen sijaan nukutaan edelleen ruususen unta. Yrityksistä puuttuu asiaan liittyvää ohjeistusta eivätkä vastuutkaan ole selkeitä. Yleensä tietoturva on vastuutettu toimitusjohtajalle tai ylemmälle esimieskunnalle, jotka hoitavat sitä muiden töiden ohella.

– Kauppakamarin tuoreen Yrityksiin kohdistuvat kyberuhat 2016 -tutkimuksen mukaan noin puolella pk-yrityksistä ei ole kyberuhkien varalle minkäänlaista konkreettista suunnitelmaa. Myöskään niissä työskentelevä henkilöstö ei tiedä, miten toimia epäillessään tietomurtoa, Hiltunen toteaa.

Verkossa tarvitaan “kyberpyssyjä”

Tilanne on huolestuttava, sillä luvut eivät ole viime vuosina juurikaan kohentuneet, vaikka verkkorikollisuudesta on rummutettu entistä näkyvämmin. Ajan ja kiinnostuksen puutteen ohella yksi selittäjä lienee yritysten tiukka taloustilanne, jolloin ei ole varaa ylimääräisiin menoeriin tai rekrytointeihin. Tietoturva-asiat myös mielletään kokonaisuudeksi, johon on vaikea tarttua.

Tietoturva on kuitenkin strategisesti tärkeää.

– Kaikkein tarkin pitää olla yrityksen maksuliikenteessä ja sen ohjeistuksessa. Pankkitilien ja luottokorttien numerot ovat juuri niitä, joita verkossa metsästetään, Hiltunen kertoo.

Yksi hyvä osuma yrityksen rahaliikenteeseen tai pankkitilille voi tietää loppua koko yritystoiminnalle.

– Takavuosina rahakuljetuksia vartioitiin aseilla. Nyt ollaan verkossa ja siellä tarvitaan ”kyberpyssyjä”, Hiltunen muistuttaa.

Arto Hiltunen

Kyberturvallisuus, Kesko, Arto Hiltunen, tietohallintojohtaja, DigiCyber, kyberrikollisuus

Keskon tietohallintojohtaja Arto Hiltunen toivoo, että tasaisin väliajoin julkisuuteen tulevat tapaukset vievät turvallisuuskulttuuria eteenpäin myös pienemmissä yrityksissä.

Syntynyt 1976

Kotipaikka Helsinki

Keskon tietohallintojohtaja.

Opiskellut Turun kauppakorkeakoulussa

Ura Keskossa:

2008 –
CIO

2004-2008
IT manager

2000-2004
Manager, BI solutions

Harrastukset tennis, sulkapallo, korttipelit ja lukeminen

Kommentoi